首页
社区
课程
招聘
[原创]win2008server+win7+物理机域内飘逸(踩的每一个坑都完整记录)
发表于: 2023-10-22 21:05 4921

[原创]win2008server+win7+物理机域内飘逸(踩的每一个坑都完整记录)

2023-10-22 21:05
4921

踩了无数个坑,文章的逻辑会很混乱 后面重新整理后会再写一篇去坑版

dc:win2008server 仅主机模式
域内机:win7(双网卡) 与域控机连接的网卡是仅主机模式,与物理机连接的是桥接模式
要求三台机子能互相ping通
流程:webshell - > 主机shell -> 上传cs的马到win7 保持权限 -> 拿到域控win2008server信息 ->利用漏洞拿下域控
物理机配置情况:
图片描述
win7配置情况:
图片描述
图片描述
图片描述
win2008server配置情况:
图片描述
配置完毕 域搭建完毕

win7上搭建phpstudy,连接蚁剑(蚁剑在物理机上)
135K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2j5%4y4V1L8W2)9J5k6h3&6W2N6q4)9J5c8X3@1H3i4K6g2X3y4U0b7@1x3e0M7&6x3U0y4Q4x3V1k6S2M7Y4c8A6j5$3I4W2i4K6u0r3k6r3g2@1j5h3W2D9M7#2)9J5c8U0p5J5y4o6R3#2x3o6x3K6z5b7`.`.
首先将win7上的phpstudy打开(否则连不上哦)
图片描述
然后打开根目录:
图片描述
2.php为测试,1.php为一句话木马
图片描述
由于主机和虚拟机能ping通,因此可以通过主机访问虚拟机中的一句话木马:
图片描述
图片描述
能连通,接下来物理机打开蚁剑进行连接:
图片描述
进入虚拟终端
图片描述
打开冰蝎
图片描述
图片描述
将该shell上传到蚁剑,重命名一下:
图片描述
测试是否上传成功
图片描述
然后打开冰蝎,新增这条url
图片描述
冰蝎巨卡无比,考虑是java版本问题48aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1K9h3I4A6j5X3W2D9K9g2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6r3g2G2i4K6u0r3b7W2j5I4g2X3R3@1x3e0q4j5y4$3!0k6i4K6u0r3i4K6y4r3M7%4m8E0i4K6g2X3K9h3c8Q4y4h3k6X3M7X3!0E0i4K6y4p5x3K6x3K6i4K6u0W2x3K6x3%4i4K6u0W2M7$3g2S2M7X3y4Z5i4K6u0V1j5$3q4J5k6q4)9J5k6h3q4D9L8q4)9J5k6h3y4D9K9h3y4C8i4K6t1$3j5h3#2H3i4K6y4n7N6X3c8Q4y4h3k6K6L8%4g2J5j5$3g2Q4x3@1c8T1x3e0V1#2x3U0b7^5x3X3j5&6y4U0b7^5k6r3p5%4x3h3j5H3x3U0R3^5j5h3j5$3z5h3y4U0x3$3y4V1y4R3`.`.
发现还是没用
生成一个cs马,通过冰蝎上传
cs使用linux作为服务器来启动teamserver,linux使用桥接模式
teamserver 服务器ip 密码
图片描述

有的时候会报这个错 莫名其妙就是排查不出来,解决办法:使用vps启动cs
最后发现这个问题是由于kali自动分配ip分配成了跟win7一模一样的ip 导致报错
图片描述
物理机打开cs,生成一个cs马:
图片描述
将这个马通过蚁剑上传到win7上去:
图片描述
然后右键interact,依次输入命令:checkin和sleep 1
图片描述
右键-access-elevate提权:
图片描述
cs4.5有些功能没有,切换4.8
25cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2j5%4y4V1L8W2)9J5k6h3&6W2N6q4)9J5c8W2y4Y4K9i4u0D9L8q4)9J5c8X3q4J5N6r3W2U0L8r3g2Q4x3V1k6V1k6i4c8S2K9h3I4K6i4K6u0r3x3e0x3I4z5o6j5#2y4U0x3J5
图片描述
生成一个病毒之后上传到win7上,并执行上线
执行命令checkin、sleep 0、process_browser,将病毒注入一个进程
图片描述
注入一个x86程序,选择http模式:
图片描述
elevate提权到管理员权限
图片描述
提权成功
图片描述
cs添加插件教程:e3aN6%4N6%4i4K6u0W2x3K6j5H3k6r3!0U0i4K6u0W2j5$3!0E0i4K6u0r3j5$3!0F1N6r3g2F1N6q4)9J5c8U0t1K6i4K6u0r3x3o6x3H3x3g2)9J5c8U0l9$3i4K6u0r3y4K6M7&6z5o6p5#2z5o6N6Q4y4h3j5I4x3o6j5&6z5e0p5H3x3K6f1$3i4K6u0W2M7$3S2@1L8h3H3`.
图片描述
图片描述
system权限后,很多文件夹都能看了
图片描述
如果死活注不进去考虑切换成phpstudy2016
实战中最好sleep 30 实验环境可以sleep 0
图片描述
这里提权到system失败了,卡了三天,换了cs4.4、4.5、4.8甚至换了插件,然后开始思考,为什么提权到administrator失败,登陆的时候好像只有chey一个用户,所以可能是administrator被锁定了,在计算机管理中取消账户禁用这个选项的时候会报一个神奇的错误:
图片描述
图片描述
在枯燥的查资料中发现管理员运行cmd输入以下命令给administrator设置一个密码后重启还是不可以解决这个问题:
图片描述
卡了好几天之后发现是我用户不够,应该先登陆win7的普通用户,从普通用户到域普通用户,然后提权到域管理员用户
登录到win2008域控机中,添加一个域控普通用户:net user zhangsan Qwer123 /add
然后回到win7中,让他上线:
图片描述
找一个x86进程注入,让病毒更稳定:
图片描述
先退出域:
图片描述
然后管理员运行cmd,运行命令net user 用户名 密码 /add
net user查看当前用户有哪些
接下来再次加入域:
图片描述
使用提权还是遇到这个报错
图片描述
另辟蹊径,先使用access-elevate-uactoken-duplication提权到管理员,然后使用access-elevate-avcexe提权到system权限
但是不稳定,做phd权限维持,首先将hashdump一下
图片描述
然后system上右键-spawn一下,然后
图片描述
右键-JUMP-psexec-
图片描述
生成两个稳定的system*
图片描述
然后登录到win7上的zhangsan账户,用管理员模式启动cmd
查看进程列表process-list
图片描述
steal_token窃取token(能做到这步真不容易TAT)
图片描述
图片描述
查看别名:
图片描述

此时拿到了hash就能飘到win7上

shell dir \WIN-FNCRU1L0SB9.test.locall\c$
hashdump 导的是当前机器的hash 现在的身份是>shell whoami(域管)
实战思路:现在做个代理在system*上右键-pivoting-sockets server
图片描述
图片描述

代理起来后打开kali,进行代理配置 这里的ip是启动teamserver的机子的ip:
图片描述
测试代理是否成功:
查看自己的80端口是否开启
ip改成127.0.0.1能成功 183.201是win7上的第二个网卡 代理能通说明第一层打通了 接下来做二层代理
输入GET /查看根目录内容
图片描述
在win7中添加一个域用户,接下来在kali中找到impact文件夹
图片描述
图片描述
然后回到kali,继续做代理,这里的dxy是通过cs在win7上添加的,ip是windows2008域控机
图片描述
这个报错大概率是因为没有先使用neo将流量代理出来
使用neoreg+proxychains在kali上做反向代理,通过win7这台机器打出来
neoreg使用命令:

图片描述
扫描win7上另一个网段存活主机,探测出10.10.10.4网段存活
修改代理/etc/proxychains4.conf 使用msf攻击10.4网段上的永恒之蓝漏洞
/etc/proxychains4.conf:
图片描述
windows上使用neoreg+proxyfile做正向代理:
图片描述
将10.10.10.*网段的流量都做正向代理:
图片描述


[注意]看雪招聘,专注安全领域的专业人才平台!

收藏
免费 3
支持
分享
最新回复 (5)
雪    币: 4470
活跃值: (31276)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
感谢分享
2023-10-22 23:03
1
雪    币: 2462
活跃值: (2392)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
感谢大佬的分享
2023-12-23 19:19
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
还得是我素质姐,阳弟深受感悟
2024-1-14 10:59
0
雪    币: 259
活跃值: (3510)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
5
G0k1ng 还得是我素质姐,阳弟深受感悟
??????
2024-1-15 14:06
0
雪    币: 712
活跃值: (630)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
感谢大佬的分享
2024-7-20 17:25
0
游客
登录 | 注册 方可回帖
返回